如何解决基于微服务架构应用的安全性和可见性问题
随着应用迁移到基于微服务的架构,容器和Kubernetes的采用日渐普及。无论是在公有云、私有云还是数据中心,这两项技术的使用率都有强劲的增长。
由于这些应用已在生产环境中得到部署并且实现规模化,传统工具已不再适合Kubernetes。 对于应用交付和安全性在内的所有应用服务,市场亟需特定于Kubernetes的企业级解决方案。A10安全服务网格(Secure Service Mesh)是专门针对这些需求而构建的解决方案,它可为Kubernetes环境中部署的微服务提供高级负载均衡应用以及流量管理、集成安全性、流量分析和可执行的洞察。
面临的挑战
为了成功地管理Kubernetes环境中的应用,亟需新的解决方案来解决以下主要挑战:
1. 为微服务提供安全性和执行策略。
2. 提供深度可见性和富有洞察力的分析,使微服务保持佳运行状态。
3. 提供“智能”负载均衡和流量管理,以确保基于容器的工作负载的持续可用性。
A10安全服务网格解决方案(Secure Service Mesh)
A10安全服务网格是专为现代微服务和基于容器的应用而构建的。这款统一解决方案提供了高度可扩展的软件定义分布式架构,其中包含三个关键组件:A10 Lightning ADC、A10 Ingress 控制器和 A10 Harmony 控制器。
该架构使得Lightning ADC(数据平面组件)轻量化并可在Kubernetes环境中部署,而 Harmony控制器则负责管理功能。 Ingress控制器与Ingress 资源相配合,使用Harmony 的API自动创建应用。它还可以创建负载均衡及内容交换规则,配置应用交付和安全策略,并将应用连接到Lightning ADC集群。Ingress控制器还可负责监控应用服务容器,并通过Harmony控制器将任何变更传达给Lightning ADC,使得ADC配置和基础设施始终保持同步。
特性与优势
- 弹性扩展
Lightning ADC将作为Kubernetes Daemonset部署。随着流量增长及更多节点被添加到 Kubernetes集群,A10 Lightning ADC集群也会随之自动增长。新的ADC实例自动会与 Harmony控制器连接,以获取配置信息,并准备好处理流量,无需任何手动配置。
- 自动服务发现
Kubernetes提供了简单的方法来扩展节点、Pod、服务等。此外,它还会持续监控正在运行的容器,并在发现容器出现故障时用新容器来替换故障容器。因此,服务容器的IP地址不断变化。而这种动态环境带来的问题就是,当应用服务希望彼此通信时,它们可能不知道正在运行服务的当前IP地址集。
安全服务网格自动跟踪动态 Kubernetes 环境中微服务的IP地址变化,促进微服务之间的通信。
- 微分段及微服务之间的安全流量
Lightning ADC可以配置为拦截流经微服务之间的流量(也称为东西流量)。一旦流量开始通过Lightning ADC,适当的安全策略(根据微分段配置)将应用于此流量。微分段可实现微服务的彼此隔离并单独保护它们。其目的是让安全性更加精细化。
由于应用服务容器的 IP 地址可能会随着时间而自动更改,因此访问策略是基于服务标签而非IP地址。
- 自动加密节点之间的流量
这款解决方案在流量离开节点边界时能够自动对其进行加密,并在将其传输到微服务之前在目标节点上对其进行解密,从而实现增强的SSL安全性,而无需对应用进行任何更改。
- 集中式应用管理和API驱动的自动化
在类似于Kubernetes的弹性分布式环境中,单独管理各个ADC是一项主要挑战。借助 Harmony控制器,对各项配置进行维护就变得非常简单,因为该控制器允许在逻辑应用层定义配置,并智能地将其推送至适当的ADC实例。此外,所有管理和分析功能都通过称为 Harmony API的REST API予以公开。这在优化应用交付功能时实现了高度自动化。
- 每个服务分析和洞察
在传统的ADC环境中,对应用层流量的可见性很低或根本不存在,因此很难收集解决问题所需的数据。A10 ADC可实时收集 各项指标并将其推送至交付可执行洞察的分析引擎,这为用户提供了可用于调优其应用和基础设施的情报,加快故障排除速度。
解决方案组件及工作原理
A10 Lightening ADC
• 为Kubernetes中部署的微服务提供创新的第4层至第7层功能,包括流量管理、高级弹性负载均衡,以及安全性和分析;
• 允许对南北流量和东西流量进行流量微分段和细粒度策略应用
• 支持CI/CD应用环境的蓝绿(Blue-Green)部署/Canary部署
• 提高运营效率,减少繁琐任务并降低风险
A10 Harmony控制器
• 为多云环境中的安全应用服务提供管理、编排和分析
• 收集、分析和报告流经ADC的流量,并提供每个服务的可见性、分析和警报
• 使IT能够自动化应用服务的部署和运营,从而提高运营敏捷性,简化分布式服务的管理,缩短故障排除时间并降低总体拥有成本
A10 Ingress控制器
• 监控应用服务容器和Ingress资源,如果发生任何变化, 通知Harmony控制器立即与 Lightning ADC同步
为在KUBERNETES环境中部署的应用提供出色的应用交付和安全性
除了操作简单、优异的微服务性能以及对所有应用流量的详尽可见性和分析外,A10安全服务网格还为部署在Kubernetes环境中的应用提供应用层安全。安全功能涵盖南北流量和东西流量。可执行洞察和出色的故障排除功能可大限度地减少在Kubernetes环境中进行应用交付管理的负担。